Man In The Middle hyökkäys teoriassa

Niin sanottu Man In The Middle (MITM) -hyökkäys on erittäin vaarallinen, mutta silti ehkä hieman tiedostamaton uhka eri langattomissa ja langallisisa lähiverkoissa.

Keskusteluasi salakuunnellaan?

Man In The Middle on vapaasti (ja huonosti) suomennettuna ”Mies välissä”. Toisaalta suomennos kertoo asiasta kaiken oleellisen. Hyökkäyksen ideana on asettua kahden kohteen välille ja salakuunnella niiden välistä keskustelua. MITM mahdollistaa myös keskustelun väärentämisen ilman, että osallistujan sitä välttämättä edes huomaavat. Ohessa muutama erittäin laadukas kuva, joiden tarkoituksena on havainnollistaa mitä hyökkäyksessä tapahtuu.

MITM kirjeen lähettäminen

Kun lähetellään kirjeitä niin perusajatus on se, että toinen lähettää kirjeen ja toinen vastaanottaa sen. Todellisuudessahan välissä on esimerkiksi postilaitos tai kuriiri tms.

man in the middle esimerkkiJos tähän perusajatukseen sisällytetään MITM-hyökkäys, niin silloin joku kolmas osapuoli esim. varastaa kirjeen ennen kuin posti ehtii vastaanottamaan tai toimittamaan sen perille. Varas lukee kirjeen tai muuttaa sitä haluamallaan tavalla. Sen jälkeen varas lähettää kirjeen alkuperäiselle vastaanottajalle, joka ei välttämättä edes tajua tulleensa huijatuksi.

MITM tietoliikenteessä

Tietoliikenteessä hyökkäyksen idea on täysin sama. Esimerkkikuvassa on seuraavat roolit:

  • A on kone, jolta selataan Internetiä
  • B on reititin/modeemi, joka muodostaa yhteyden ulkoverkkoon
  • C on hyökkääjä

man in the middle tietoliikenteessäEsimerkkikuvassa hyökkääjä on suorittanut MITM-hyökkäyksen ja lopputulos on se, että A luulee keskustelevansa suoraan modeemin kautta Internettiin, mutta todellisuudessa kaikki liikenne kiertää hyökkääjän C kautta. C voi mielensä mukaan muokata tai salakuunnella liikennettä.

Tiedostojen ja osioiden turvallinen poistaminen

Monet yritykset tai yksityiset henkilöt ovat varmasti olleet tilanteessa, jossa esimerkiksi vanha tietokone annetaan pois, kun uutta laitetta ollaan ottamassa käyttöön. Tällaisissa tilanteissa suositellaan, että koneen käyttämät tallennusmediat tyhjennetään asianmukaisilla työkaluilla. Pelkkä tiedostojen manuaalinen poistaminen tai kovalevyjen formatointi ei valitettavasti tyhjennä levyä siten, että se olisi täysin tietoturvallinen.

Internetistä on saatavilla ohjelmia, joiden avulla huonosti tyhjennetyistä levyistä voidaan palauttaa myös arkaluontoisia tietoja.

Miksi tiedostot eivät poistu oletuksena turvallisesti?

Yleensä kun jokin tiedosto poistetaan, siirretään se oletuksena käyttöjärjestelmän roskakoriin. Sieltähän se on helposti siirrettävissä takaisin käyttöön. Tästä on hyötyä esimerkiksi jos on vahingossa poistanut väärän tiedoston.

Mikäli roskakori tyhjennetään, katoaa tiedosto kokonaan käyttäjän näkökulmasta. Todellisuudessa käyttöjärjestelmä vain poistaa viittaukset tiedostoon ja merkitsee kyseisen kovalevyn muistialueen uudelleen käytettäväksi.

Tiedostoa ei enää näy missään, mutta se on silti olemassa kovalevyllä. Jos joku saa kovalevyn haltuunsa, voi hän saada arkaluontoisia tietoja esiin. Jotta arkaluontoiset tiedostot saataisiin kokonaan poistettua, pitää muistialueet täyttää uudelleen. Tätä kutsutaan ylikirjoittamiseksi.

Mikäli jokin tiedosto on poistettu ja tila merkitty uudelleen käytettäväksi, saattaa käyttöjärjestelmä jossain vaiheessa ylikirjoittaa kyseisen tilan jollain muulla tiedostolla. Ylikirjoittaminen on mahdollista suorittaa myös sitä varten tehdyillä ohjelmilla. Ohessa on vielä kuva selventämään asiaa. Ylärivillä olevat numerot kuvaavat muistipaikkoja kovalevyllä. Kirjaimet A-D kuvaavat kyseisiä muistipaikkoja eri tapahtumahetkellä.

tiedosto_levylla

  • A = Kovalevyn muistipaikoissa 1-9 ei ole mitään tiedostoa.
  • B = Kovalevylle lisätään kuva, joka vie muistipaikat 1-5.
  • C = Kuvatiedosto poistetaan käyttöjärjestelmästä. Tiedosto säilyy silti kovalevyllä, vaikka käyttöjärjestelmä ei sitä enää näe.
  • D = Kovalevyn muistipaikat 1-9 ylikirjoitetaan useaan kertaan satunnaisella datalla eli ykkösillä ja nollilla. Kuvatiedostoa ei enää ole.

Ohessa on listattuna muutamia ohjelmia ja ohjeita niiden käyttöön. Parhaaseen lopputulokseen päästään koko osion ylikirjoittavalla DBAN -ohjelmalla. Muut ovat lähinnä yksittäisten tiedostojen tai kansioiden ylikirjoittamiseen tarkoitettuja.

Langattomista verkoista vain noin puolet on tarpeeksi hyvin suojattu!

Tietojesiturvaksi.fi suoritti pienimuotoisen tutkimuksen liittyen WLAN-verkkojen suojaamiseen eräässä kaupungissa. Alueeksi valittiin kaupungin keskusta ja sitä ympäröivät suurimmat asuinalueet. Tarkoituksena oli kartoittaa alueella olevien WLAN-verkkojen määrää ja suojauksen tasoa. Tutkimuksen aikana verkoista ei kerätty ylimääräistä dataa(laitonta!), vaan pelkät saatavilla olevat verkon nimet (SSID) ja salaustyypit(WEP,WPA). Seuraavaksi esitettävät arvot ovat vain ”noin-lukuja”, koska kaikkia alueen langattomia lähiverkkoja on mahdotonta kartoittaa. Osasta verkoista ei saatu myöskään kaikkia tarvittavaa informaatiota. Luvut on pyöristetty lähimpään kymmeneen. Todelliset arvot saattavat olla helposti esimerkiksi +-50 verkkoa. Mitenkään 100% luotettavasta tutkimuksesta ei siis ole kyse, mutta jokaisen on silti helppo havaita jutun idea: Ihmiset ei edelleenkään osaa suojata WLAN-yhteyksiään!

WLAN tutkimuksen tulokset

Alueelta löytyi yhteensä noin 1120 langatonta lähiverkkoa. Näistä 1120 verkosta VAIN 640 oli suojattu turvalliseksi luokiteltavalla WPA-salauksella(WPA/WPA2). Prosentteina siis vain noin 57% oli tarpeeksi hyvin suojattu! Epäluotettavaa WEP-salausta käytti yhteensä noin 170 verkkoa. Prosentteina se on noin 15%. WEP-salaus kannattaa vaihtaa parempaan, koska kyseinen salaus on helposti murrettavissa Ilman salausta oli jopa 310 verkkoa. Eli noin 27% kaikista langattomista lähiverkoista.

Päätelmät

Lyhyesti sanottuna langattomien lähiverkkojen tietoturvatietous ei vieläkään ole tarpeeksi laajalle levinnyttä. Positiivista on se, että yli puolet käyttää jo WPA/WPA2 -salausta. WEP-salaus on kohtuullisen helposti kierrettävissä ja todennäköisesti tällekkin sivustolle siitä jossain vaiheessa demoa julkaistaan. Avoimien verkkojen määrä on suhteellisen suuri. On hyvin todennäköistä, että osa verkon ylläpitäjistä haluaa jakaa WLAN-verkkonsa myös muiden käyttöönsä. Siitä huolimatta noin 27% kaikista löydetyistä verkoista on kohtuuttoman suuri määrä!

 

edit 28.11.2013 poistettu toimimaton linkki